ANSSI RGS Pentest : Conformité au Référentiel Général de Sécurité pour les organismes publics
Le Référentiel Général de Sécurité (RGS), publié par l'ANSSI (Agence nationale de la sécurité des systèmes d'information), définit les règles de sécurité auxquelles doivent se conformer les systèmes d'information des organismes publics français. Il est rendu obligatoire par l'ordonnance n° 2005-1516 relative aux échanges électroniques entre les usagers et les autorités administratives. Le RGS comprend notamment les règles B.1 relatives aux mécanismes cryptographiques, les exigences d'audit de sécurité des SI et les critères de qualification des prestataires. Ce guide explique ce que le RGS impose concrètement en matière de tests de sécurité, le rôle des prestataires PASSI et comment structurer un audit conforme.
Ce que le RGS et l'ANSSI exigent en matière de tests de sécurité
Le RGS est structuré en règles (niveaux *, ** et ***) couvrant les fonctions de cryptographie, d'authentification, de signature électronique et de confidentialité. La règle RGS B.1 relative aux mécanismes cryptographiques impose des exigences précises sur les algorithmes acceptables, les tailles de clés minimales et les protocoles autorisés pour les systèmes d'information de l'État et des organismes publics. Au-delà du RGS stricto sensu, l'ANSSI publie une série de guides et recommandations qui constituent de facto des référentiels de sécurité attendus par les auditeurs : le guide ANSSI-PG-083 sur la cryptographie, le guide d'hygiène informatique (40 mesures), les recommandations sur la sécurité des architectures Cloud (SecNumCloud), et le guide des recommandations relatives à l'audit des systèmes d'information. L'ANSSI a créé le label PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information) pour qualifier les prestataires autorisés à réaliser des audits de sécurité dans le cadre du RGS. Les organismes publics soumis au RGS sont encouragés — et souvent contractuellement obligés — à recourir à des prestataires PASSI pour leurs audits de sécurité, y compris les tests de pénétration.
- RGS règle B.1 (mécanismes cryptographiques) : interdiction d'utiliser RC4, 3DES, MD5, SHA-1 dans les systèmes d'information de l'État ; obligation d'utiliser AES-256, RSA-2048 minimum (RSA-4096 recommandé pour les systèmes critiques), SHA-256/SHA-384, TLS 1.3 (RFC 8446) — un pentest vérifie la conformité effective de tous ces paramètres.
- ANSSI guide de l'hygiène informatique (40 mesures) : mesure 12 — authentification des accès à distance par VPN ; mesure 13 — cloisonnement des réseaux ; mesure 14 — journalisation des événements — un pentest teste l'efficacité réelle de ces mesures.
- SecNumCloud (référentiel de qualification cloud) : les prestataires cloud candidats à la qualification SecNumCloud doivent démontrer leur conformité à travers des audits incluant des tests de pénétration réalisés par des prestataires qualifiés — qualification délivrée par l'ANSSI.
- PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information) : qualification ANSSI pour les prestataires de tests de pénétration et d'audits de sécurité — les marchés publics d'audit de sécurité requièrent fréquemment des prestataires PASSI qualifiés.
- EBIOS Risk Manager (méthode ANSSI) : méthode nationale d'analyse des risques cyber recommandée par l'ANSSI — un test de pénétration complète l'analyse EBIOS RM en fournissant une validation pratique des scénarios de risque identifiés.
- Instruction interministérielle n° 6600 (II 6600) : pour les Opérateurs d'Importance Vitale (OIV), des tests de pénétration réguliers des systèmes d'information d'importance vitale (SIIV) sont obligatoires — avec notification préalable à l'ANSSI.
- Homologation de sécurité des SI (RGS Art. 5) : tout système d'information de l'État traitant des données sensibles doit faire l'objet d'une homologation de sécurité — les tests de pénétration sont un élément clé du dossier de sécurité soumis à l'homologation.
Ce qu'un test de pénétration conforme RGS/ANSSI doit couvrir
- Conformité cryptographique RGS B.1 : vérification des suites de chiffrement TLS sur tous les services exposés (HTTPS, API, portails), détection des certificats utilisant SHA-1 ou RSA < 2048 bits, analyse des implémentations de stockage des mots de passe (bcrypt/Argon2 vs MD5/SHA-1 non salé).
- Authentification et gestion des accès (RGS règles A.x) : vérification de la conformité des mécanismes d'authentification au niveau de sécurité requis par le RGS (*, **, ***), test des implémentations de signature électronique, analyse des certificats eIDAS.
- Architecture réseau et cloisonnement (guide ANSSI hygiène) : test de la segmentation réseau, vérification des règles de pare-feux, détection de communications non autorisées entre segments (mouvement latéral), audit des accès VPN.
- Applications web des services en ligne (portails citoyen, eGov) : OWASP Top 10 (2021) — injection SQL, XSS, CSRF, exposition de données sensibles (RGPD Art. 32), CVE-2023-44487 (HTTP/2 Rapid Reset) sur les serveurs web.
- Infrastructure de messagerie sécurisée (recommandations ANSSI) : configuration SPF/DKIM/DMARC, sécurité des passerelles de messagerie, chiffrement de bout en bout pour les communications sensibles (S/MIME, PGP).
- Systèmes de gestion documentaire et espaces de travail numériques : accès non autorisés aux documents sensibles, mauvaises configurations des permissions, exposition de données via APIs internes.
- Journalisation et conformité audit trail (ANSSI recommandations) : vérification que les événements de sécurité critiques sont journalisés, intégrité des journaux, durée de rétention conforme aux exigences réglementaires.
- Infrastructure Active Directory et annuaires LDAP : sécurité des contrôleurs de domaine, délégations Kerberos, CVE-2021-42278 (AD name impersonation), CVE-2021-42287 (noPac escalation), audit des GPO de sécurité.
- Tests de phishing et ingénierie sociale (pour les niveaux RGS *** et OIV) : simulation d'attaques de phishing ciblées, test de la résistance des agents publics aux techniques d'ingénierie sociale, évaluation de la sensibilisation à la cybersécurité.
- Conformité RGPD et protection des données personnelles (Art. 32) : évaluation des mesures techniques de sécurité pour la protection des données personnelles traitées par les systèmes d'information publics.
Exemple de finding
Suite de chiffrement TLS 1.0 active sur le portail d'authentification des agents (violation RGS B.1)
Le portail d'authentification des agents de l'organisme public supporte TLS 1.0 et TLS 1.1, explicitement interdits par la règle RGS B.1 (version 2.03, §4.1). Des tests BEAST (Browser Exploit Against SSL/TLS, CVE-2011-3389) et POODLE (CVE-2014-3566) ont confirmé que ces protocoles sont exploitables dans certaines configurations de navigateur. De plus, la suite de chiffrement RC4-SHA est toujours annoncée par le serveur, en violation directe du RGS B.1 §3.1. Un attaquant en position de man-in-the-middle sur le réseau interne ou sur le Wi-Fi des agents travaillant en dehors du bureau peut déchiffrer les communications d'authentification et capturer les jetons de session.
Correction : Désactiver immédiatement TLS 1.0, TLS 1.1 et toutes les suites RC4 sur le serveur web et les équipements réseau associés. Configurer TLS 1.2 minimum avec des suites de chiffrement conformes RGS B.1 (AES-GCM, ECDHE pour l'échange de clés) — TLS 1.3 recommandé. Utiliser l'outil de test SSL Labs ou l'outil de vérification de conformité cryptographique de l'ANSSI pour valider la configuration après correction. Mettre à jour la politique de sécurité des systèmes d'information pour inclure une révision semestrielle de la configuration TLS. Documenter la correction dans le dossier de sécurité pour l'homologation RGS.
Référence : CVE-2011-3389 (BEAST) · CVE-2014-3566 (POODLE) · RGS B.1 §3.1 suites cryptographiques interdites · RGS B.1 §4.1 protocoles TLS autorisés · ANSSI-PG-083 recommandations cryptographiques
Pentest RGS/ANSSI : comparaison des options
| — | Scan gratuit | Matproof Sentinel | Consultance classique |
|---|---|---|---|
| Moteur de scan automatisé | ✓ (aperçu 3 min) | ✓ Scan complet | ✗ Manuel uniquement |
| Couverture OWASP Top 10 | Partielle | ✓ Complète | ✓ Complète |
| Preuve d'exploitation | ✗ | ✓ Par finding | ✓ Par finding |
| Mapping réglementaire (DORA/NIS2/ISO 27001) | ✗ | ✓ Automatisé | ✓ Manuel |
| Rapport PDF prêt pour l'audit | ✗ | ✓ Instantané | ✓ Livraison 2–4 semaines |
| Scans continus / récurrents | ✗ | ✓ Par déploiement | ✗ Engagement annuel |
| Délai avant premier résultat | ~3 min | ~30 min scan complet | 2–4 semaines |
| Prix | €0 | À partir de €149 | €8 000–€25 000 |
| Revue de code source (SAST) | ✗ | ✓ Plan Growth | ✓ Périmètre défini |
| Tests API (REST/GraphQL) | ✗ | ✓ Automatisé | ✓ Manuel |
Offres de pentest conformes RGS et ANSSI
- 1 scan pentest complet
- Résultats priorisés par IA avec CVSS 3.1
- Proof-of-exploit pour chaque finding
- Rapport PDF (prêt pour l'audit)
- Mapping réglementaire (DORA, NIS2, ISO 27001)
- Scans illimités (jusqu'à 3 domaines)
- Surveillance continue
- Intégration CI/CD (GitHub, GitLab)
- Tous les mappings réglementaires
- Support prioritaire
- Scans + domaines illimités
- Tests authentifiés / White-Box
- Tests d'API et d'infrastructure cloud
- Account manager sécurité dédié
- SLA réponse 24h
Questions fréquentes sur le pentest ANSSI RGS
Quels organismes sont soumis au RGS ?
Le RGS s'applique aux autorités administratives françaises au sens large : État (ministères, directions, établissements publics nationaux), collectivités territoriales (régions, départements, communes de plus de 50 000 habitants), organismes de Sécurité sociale, et tout organisme public mettant en œuvre un téléservice impliquant des échanges avec les usagers. Les prestataires de services numériques travaillant pour ces organismes sont également concernés via les clauses contractuelles des marchés publics.
Qu'est-ce qu'un prestataire PASSI et est-ce obligatoire pour un pentest RGS ?
PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information) est une qualification délivrée par l'ANSSI aux prestataires démontrant un niveau d'expertise et de processus suffisant pour réaliser des audits de sécurité. Pour les marchés publics d'audit de sécurité des systèmes d'information de l'État, le recours à un prestataire PASSI qualifié est fréquemment exigé. Les organismes moins contraints peuvent faire appel à tout prestataire compétent, mais la qualification PASSI est un gage de qualité reconnu par l'ANSSI.
Qu'est-ce que l'homologation de sécurité RGS et quel rôle joue le pentest ?
L'homologation de sécurité est la décision formelle par laquelle une autorité administrative valide que les risques résiduels d'un système d'information sont acceptables. C'est une obligation pour tous les SI de l'État traitant des données sensibles. Le test de pénétration est un élément clé du dossier d'homologation, car il constitue la preuve pratique de l'efficacité des mesures de sécurité. Sans un pentest récent (moins de 24 mois), un dossier d'homologation sera généralement considéré comme incomplet.
Comment le RGS s'articule-t-il avec NIS2 et la loi n° 2024-449 ?
Le RGS et NIS2 sont complémentaires pour les organismes publics. Le RGS s'applique à tous les SI des autorités administratives ; NIS2 (loi n° 2024-449) s'applique aux entités essentielles et importantes dans les secteurs critiques, y compris les administrations centrales et régionales. En pratique, un organisme public dans le champ de NIS2 doit satisfaire à la fois au RGS (homologation, conformité cryptographique) et aux obligations NIS2 (Art. 21 mesures de sécurité, Art. 23 signalement des incidents).
Que sont les règles RGS B.1 sur les mécanismes cryptographiques ?
La règle RGS B.1 est un document technique de l'ANSSI précisant les mécanismes cryptographiques acceptables pour les SI de l'État. Elle interdit explicitement RC4, DES, 3DES, MD5 et SHA-1 pour les nouveaux systèmes ; exige un minimum de RSA-2048 (RSA-3072 recommandé pour les données à protéger au-delà de 2030) ; impose TLS 1.2 ou supérieur avec des suites ECDHE+AES-GCM ; et définit les profils de certificats X.509 acceptables. Un test de pénétration vérifie la conformité effective à ces règles.
Qu'est-ce que SecNumCloud et quel lien avec les tests de pénétration ?
SecNumCloud est le référentiel de qualification de l'ANSSI pour les prestataires de services cloud hébergeant des données sensibles de l'État et des OIV. Pour obtenir la qualification SecNumCloud, un prestataire cloud doit démontrer sa conformité à travers des audits approfondis incluant des tests de pénétration réalisés par des prestataires qualifiés (PASSI). Les entités publiques qui imposent SecNumCloud à leurs fournisseurs cloud exigent indirectement que ces fournisseurs aient passé des tests de pénétration rigoureux.
L'ANSSI publie-t-elle des recommandations sur les méthodologies de pentest ?
Oui — l'ANSSI a publié le « Guide des recommandations relatives à l'audit des systèmes d'information » (référence ANSSI-PA-075) qui détaille les bonnes pratiques pour la conduite d'audits de sécurité, y compris les tests de pénétration. Ce guide couvre : la définition du périmètre et des objectifs, la qualification du prestataire, les phases de test (reconnaissance, scan, exploitation, post-exploitation), la rédaction du rapport et les exigences de confidentialité. Matproof Sentinel suit les recommandations méthodologiques de l'ANSSI-PA-075.
À quelle fréquence faut-il réaliser un audit de sécurité pour rester conforme au RGS ?
Le RGS ne fixe pas de fréquence minimale pour les audits, mais les pratiques recommandées par l'ANSSI prévoient un audit complet lors de l'homologation initiale, puis lors de chaque renouvellement d'homologation (généralement tous les 3 ans) ou après toute modification substantielle du SI. Entre les renouvellements, des audits intermédiaires ciblés (notamment des tests de pénétration des applications exposées) sont fortement recommandés. Pour les OIV, les obligations sont plus strictes avec des audits plus fréquents.
Approfondir — articles de blog associés
Démarrez votre pentest conforme ANSSI RGS
Vérifiez la conformité de vos systèmes d'information aux exigences du RGS B.1, de l'ANSSI et des recommandations de sécurité pour les organismes publics. Rapport audit-ready avec mapping explicite sur les règles RGS et les recommandations ANSSI.
Démarrer le pentest RGS